Этот недостаток в системе безопасности является частью архитектуры GitHub. Аналогичные особенности, которые могут привести к случайному раскрытию конфиденциальных данных, можно найти и в архитектурах многих других систем контроля версий.
Обычный пользователь рассматривает разделение частных и общедоступных репозиториев как границу безопасности и по понятным причинам считает, что любые данные, расположенные в частном репозитории, не могут быть доступны общедоступным пользователям. К сожалению, как мы отметили в нашем исследовании, это не всегда верно. Более того, акт удаления подразумевает уничтожение данных. Как мы видим, удаление репозитория или форка не означает, что ваши данные фиксации будут фактически удалены.
Специалисты Truffle Security опубликовали лишь 3 возможных сценария атаки. Они отмечают, что способов извлечь данные может быть намного больше. Команда настаивает, что единственным способом устранения утечки данных является ротация ключей доступа.
#уязвимость #GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9⚡3🤯2❤1🔥1
На ваших экранах — свежие новости из мира DevOps и системного администрирования.
🤩 В России возникла проблема с доступом к сайтам, использующих ECH Protocol от Cloudflare. Среди них — opensource.org, gitlab.io, doxygen.org.
ECH (Encrypted Client Hello) — это технология для TLS 1.3, которая позволяет скрывать от интернет-провайдеров адреса посещённых пользователем сайтов.
Протокол пришёл на замену менее надёжному ESNI. В отличие от ESNI, ECH шифрует не только SNI (Server Name Indication), а сразу всё сообщение ClientHello целиком. Эта функция была ненадолго активирована на серверах Cloudflare в 2023 году и стала снова доступна в октябре этого года.
В ночь с 5 по 6 ноября Роскомнадзор начал блокировать трафик, который шифруется через новую версию защиты от Cloudflare. При этом сайты версиями TLS 1.2 и ниже до сих пор работают без перебоев.
Почитать о костыльных решениях проблемы можно здесь.
upd: 7 ноября подведомственный Роскомнадзору ЦМУ ССOП порекомендовал отказаться от Cloudflare и перейти на российские решения. Центр отметил, что использование ECH нарушает российское законодательство.
⚫️ Опубликовали патч для ядра Linux, который ускоряет прохождение теста
В патче используется маскирование указателей, что позволяет снизить количество медленных вызовов функции barrier_nospec(), применяемой в 64-битной версии функции copy_from_user().
🟡 GitHub выпустил Octoverse 2024 — ежегодный отчёт о состоянии индустрии open sourse. Если коротко:
• Разработчики со всего мира внесли более 1 миллиарда изменений в проекты с открытым исходным кодом. Из них — более 5,2 миллиарда изменений в 518 миллионов проектов на GitHub.
• Python впервые стал самым популярным языком на GitHub.
• Ожидается, что к 2028 году Индия обойдёт США по количеству разработчиков.
⚫️ В блоге Percona Пётр Зайцев высказался о проблемах MySQL и рассказал, как ей стать конкурентноспособной PostgreSQL. Спойлер:он предложил объединить усилия всех ключевых фигур проекта и создать альтернативу MySQL под новым брендом. Если вы не согласны, то можете поспорить с этим мнением в комментариях.
#devops #linux #cloudflare #github #mysql #postgresql
ECH (Encrypted Client Hello) — это технология для TLS 1.3, которая позволяет скрывать от интернет-провайдеров адреса посещённых пользователем сайтов.
Протокол пришёл на замену менее надёжному ESNI. В отличие от ESNI, ECH шифрует не только SNI (Server Name Indication), а сразу всё сообщение ClientHello целиком. Эта функция была ненадолго активирована на серверах Cloudflare в 2023 году и стала снова доступна в октябре этого года.
В ночь с 5 по 6 ноября Роскомнадзор начал блокировать трафик, который шифруется через новую версию защиты от Cloudflare. При этом сайты версиями TLS 1.2 и ниже до сих пор работают без перебоев.
Почитать о костыльных решениях проблемы можно здесь.
upd: 7 ноября подведомственный Роскомнадзору ЦМУ ССOП порекомендовал отказаться от Cloudflare и перейти на российские решения. Центр отметил, что использование ECH нарушает российское законодательство.
Рекомендуем владельцам информационных ресурсов отключить расширение TLS ECH или, что правильнее, использовать отечественные CDN-сервисы, которые обеспечивают надёжное и безопасное функционирование ресурсов и защиту от компьютерных атак.
⚫️ Опубликовали патч для ядра Linux, который ускоряет прохождение теста
per_thread_ops на 2.6%. В патче используется маскирование указателей, что позволяет снизить количество медленных вызовов функции barrier_nospec(), применяемой в 64-битной версии функции copy_from_user().
🟡 GitHub выпустил Octoverse 2024 — ежегодный отчёт о состоянии индустрии open sourse. Если коротко:
• Разработчики со всего мира внесли более 1 миллиарда изменений в проекты с открытым исходным кодом. Из них — более 5,2 миллиарда изменений в 518 миллионов проектов на GitHub.
• Python впервые стал самым популярным языком на GitHub.
• Ожидается, что к 2028 году Индия обойдёт США по количеству разработчиков.
⚫️ В блоге Percona Пётр Зайцев высказался о проблемах MySQL и рассказал, как ей стать конкурентноспособной PostgreSQL. Спойлер:
#devops #linux #cloudflare #github #mysql #postgresql
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡4🤬3❤1👨💻1
Изменение графиков стало возможным благодаря отсутствию проверки временных меток в Git и особенностям системы атрибуции коммитов на GitHub. Можно создавать "задним числом" коммиты с произвольными сообщениями, которые отобразятся на графике активности любого пользователя.
Два ключевых вывода из статьи:
1. Манипуляции с временными метками и коммитами могут быть использованы как в благих, так и в злонамеренных целях.
2. Такие уязвимости подчеркивают необходимость улучшения механизмов проверки на платформах, подобных GitHub.
#github #repository
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2👍2😱2
GitHub провели исследование сообщества разработчиков ПО с открытым исходным кодом. Предыдущий опрос был аж в 2017 году, и за 7 лет изменились не только технологии, но и само сообщество — более 75 миллионов пользователей присоединились к платформе.
В новом исследовании приняли участие 8400 человек, благодаря которым смогли выявить ключевые тенденции, влияющие на будущее open-source. Из интересного:
1. Рост использования ИИ
Использование инструментов ИИ, таких как GitHub Copilot, растет: 72% респондентов, использующих ПО с открытым исходным кодом, сообщают, что используют эти инструменты для кода или документаций.
2. Борьба с токсичностью
В 2017 году 49% разработчиков предпочитали просто игнорировать онлайн-токсичность. В 2024 году этот показатель снизился до 38% — люди стали чаще жаловаться на нарушителей и их блокировать.
3. Безопасность и активная разработка остаются в приоритете
За прошедшие годы "активная разработка" и "свободная лицензия" так и остались лидирующими критериями при использовании ПО.
Посмотреть полные результаты исследования можно тут.
#devops #opensource #github
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥4🥰3
На Blacksmith вышел полноценный гайд по управлению секретами — чувствительными данными, такими как API-ключи, токены доступа и учетные данные баз данных в GitHub Actions. Он объясняет, как работают секреты, какие уровни управления ими существуют (
В статье собраны как базовые для опытных пользователей советы, так и интересные инсайты.
Читаем материал тут и проверяем, насколько ваши методы соответствуют best practices.
#devops #github #secrets
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥1🤯1
Выкатываем средовую подборку, ловите!
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
Вместо того, чтобы зацикливаться на вопросе «насколько вы уязвимы», вы должны изначально предполагать худшее. Ваши конфиденциальные данные полностью раскрыты; считайте это данностью.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🔥14👍3❤1
Что ни среда — то свежий дайджест на канале DevOps FM.
🟡 30 марта произошел массовый сбой в работе сервисов Яндекса
В воскресенье авария в одном из ЦОД Яндекса вызвала трудности с доступом ко множеству сервисов в зоне ru‑central1-b. Роскомнадзор заявил, что авария связана с системой электропитания одного из дата-центров.
Ожидаем отчет от Yandex Cloud, которые пока продолжают выяснять причины сбоя.
⚫️ Код в ядре Linux 6.15 протестировал и нервы Линуса Торвальдса
Новый код тестирования драйверов Intel Xe
Торвальдса возмутило, что «омерзительный hdrtest-мусор» замедляет сборку, оставляет случайные файлы и засоряет дерево исходников. Он пометил
Выпуск Linux 6.15 ожидается в конце мая — начале июня 2025 года.
🟡 Более 1500 серверов PostgreSQL стали жертвами майнинга
Проблема была обнаружена еще в прошлом году, но сейчас атаки вышли на новый уровень. Как выяснила команда Wiz, хакерская группа продолжает массово взламывать PostgreSQL-сервера с дефолтными паролями, развертывая криптомайнеры.
Для каждого зараженного сервера используются уникальные хэши, а сам майнер выполняется безфайловым методом и маскируется под процессы PostgreSQL. Также, через уязвимость злоумышленники могут получить полный контроль над сервером и проникнуть в корпоративную сеть.
⚫️ GitHub обнаружил 39 миллионов утечек секретной информации в 2024 году
Платформа сообщает о масштабной проблеме утечек секретных данных в репозиториях. В 2024 году GitHub обнаружил 39 миллионов таких инцидентов, и это при условии что ежедневно блокируются тысячи потенциальных утечек.
Чтобы помочь разработчикам защититься, GitHub запускает новые инструменты безопасности: Secret Protection и Code Security, которые теперь доступны как отдельные продукты; бесплатное сканирование секретов для организаций, чтобы выявлять утечки в масштабах всей команды; а также расширение возможностей Push Protection, предотвращающего загрузку секретов в код еще до коммита.
Подробнее о том, как происходят утечки и что предпринять для защиты — в статье.
#devops #linux #github
🟡 30 марта произошел массовый сбой в работе сервисов Яндекса
В воскресенье авария в одном из ЦОД Яндекса вызвала трудности с доступом ко множеству сервисов в зоне ru‑central1-b. Роскомнадзор заявил, что авария связана с системой электропитания одного из дата-центров.
Ожидаем отчет от Yandex Cloud, которые пока продолжают выяснять причины сбоя.
⚫️ Код в ядре Linux 6.15 протестировал и нервы Линуса Торвальдса
Новый код тестирования драйверов Intel Xe
hdrtest, который необходим для проверки заголовков DRM, был влит в предварительную сборку версии 6.15. Торвальдса возмутило, что «омерзительный hdrtest-мусор» замедляет сборку, оставляет случайные файлы и засоряет дерево исходников. Он пометил
hdrtest как сломанный, посоветовал убрать это "омерзительное нечто" из стандартной сборки, а также накинул добра в рассылку: This thing needs to *die*.
Выпуск Linux 6.15 ожидается в конце мая — начале июня 2025 года.
🟡 Более 1500 серверов PostgreSQL стали жертвами майнинга
Проблема была обнаружена еще в прошлом году, но сейчас атаки вышли на новый уровень. Как выяснила команда Wiz, хакерская группа продолжает массово взламывать PostgreSQL-сервера с дефолтными паролями, развертывая криптомайнеры.
Для каждого зараженного сервера используются уникальные хэши, а сам майнер выполняется безфайловым методом и маскируется под процессы PostgreSQL. Также, через уязвимость злоумышленники могут получить полный контроль над сервером и проникнуть в корпоративную сеть.
⚫️ GitHub обнаружил 39 миллионов утечек секретной информации в 2024 году
Платформа сообщает о масштабной проблеме утечек секретных данных в репозиториях. В 2024 году GitHub обнаружил 39 миллионов таких инцидентов, и это при условии что ежедневно блокируются тысячи потенциальных утечек.
Чтобы помочь разработчикам защититься, GitHub запускает новые инструменты безопасности: Secret Protection и Code Security, которые теперь доступны как отдельные продукты; бесплатное сканирование секретов для организаций, чтобы выявлять утечки в масштабах всей команды; а также расширение возможностей Push Protection, предотвращающего загрузку секретов в код еще до коммита.
Подробнее о том, как происходят утечки и что предпринять для защиты — в статье.
#devops #linux #github
👍5❤4🔥1
Собрали для вас подборку новостей и релизов за прошедшую неделю.
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
В материале рассказали, как
⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
tj-actions, и дали рекомендации по настройке безопасности. Если кратко:• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
pull_request_target .Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
PersistentVolume при удалении объектов в неправильном порядке.В материале рассказали, как
finalizer гарантирует корректное удаление томов, даже если PV удаляется раньше связанного PVC. Раньше в таких случаях хранилище оставалось висеть в инфраструктуре. ⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
👍10🔥3❤1
В эфире DevOps FM — срединедельный дайджест новостей и статей.
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках(до 2000 запросов в секунду) . Всё это — с сохранением обратной совместимости и стабильности интерфейсов.
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
kubelet проверяет, действительно ли под имеет доступ к уже загруженному образу, даже если он используется с политикой IfNotPresent. Это изменение помогает избежать несанкционированного использования приватных образов другими подами на той же ноде.В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🔥10👍6❤2
Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова.
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу.Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
👍12❤3
Инженер Фабиан Агиляр Гомес рассказывает, как инфраструктурная команда GitHub работает с поиском и устранением проблем. Автор объясняет разницу между продуктовой и платформенной инженерией через аналогию с модельками Gundam.
Материал охватывает такие навыки и подходы как:
• Понимание предметной области и технических доменов
• Знание сетей, операционных систем, распределённых систем и IaC-инструментов
• Оценка зоны влияния (impact radius) и работа с зависимостями
• Тестирование инфраструктурных изменений на проде через E2E
• Важность распространения знаний и ретроспектив
#devops #github #infrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM